GDPR (21) Accountability dans le cadre du GDPR

2 février 2018

Maintenant que nous avons pour ainsi dire couvert l’ensemble du GDPR, il reste quelques sujets à aborder plus globalement. L’un d’eux est l’accountability ou la responsabilité de ceux qui traitent les données, et surtout des responsables pour le traitement. Toute personne qui traite des données à caractère personnel est tenue de respecter les prescriptions du GDPR et doit à tout moment pouvoir démontrer et prouver qu’elle le fait. Si vous êtes familier des audits, vous savez ce que cela signifie. Après vous avoir demandé comment vous vous organisiez pour respecter certaines obligations, vous devez toujours démontrer que vous suivez effectivement vos procédures et exercez un contrôle suffisant sur vos collaborateurs. C’est le sujet de cet article.

Pour pouvoir démontrer que vous connaissez et comprenez tous les aspects du GDPR et en avez transposé les conséquences dans votre organisation, une certaine administration est nécessaire. Il convient de le faire de manière pragmatique mais en même temps complète, surtout pour une petite entreprise, organisation ou association. Nous avons déjà, dans ce blog, donné quelques conseils pour y parvenir. À l’avenir, vous devrez veiller à ce que votre documentation soit toujours à jour.

Pour commencer, vous devez veiller à avoir suffisamment de connaissances en interne. Les organisations qui disposent d’un Data Protection Officer lui confient (à lui et ses collaborateurs) cette responsabilité. Toutefois, même sans DPO, vous devez être informé et former vos collaborateurs.

Le point central, pour attester de votre conformité, est le registre des traitements des données à caractère personnel. Le GDPR impose, en soi, la tenue d’un tel registre. Mais il s’agit également du point de départ idéal pour documenter votre maîtrise de la confidentialité des données. Pour chaque traitement décrit, vous y démontrez que vous avez réfléchi à l’objectif et au fondement juridique du traitement, envisagé les risques d’une fuite de données et développé une protection maximale pour l’éviter. Vous devez évidemment élaborer une bonne procédure pour garantir que ces informations restent complètes. Tout traitement supplémentaire doit être repris dans le registre. À cet égard, le rôle du Data Protection Officer est important, car il contribue à et supervise la bonne exécution de cette procédure.

Pour les projets importants, cette étude préliminaire peut être davantage formalisée. Il est alors question d’une Data Privacy Impact Analyse (DPIA). Il s’agit de la radiographie formelle d’un traitement, en vue de définir tous les risques éventuels d’atteintes à la vie privée, d’énumérer toutes les mesures de protection et de confronter l’objectif et le fondement juridique pour s’assurer que le traitement compense les risques résiduels. Pour les traitements intensifs de catégories de données à caractère personnel particulières, une DPIA doit être soumise pour approbation à l’autorité en charge de la protection des données ou DPA (l’ancienne Commission Vie Privée).

Toutes les mesures prises pour la protection doivent évidemment être bien documentées. En cas de contrôle, vous êtes censé être en mesure de montrer immédiatement quelles sont les procédures applicables, de quand date la dernière version, à qui chaque procédure est applicable et si vos collaborateurs sont informés des procédures et connaissent les instructions… Si certaines procédures vont de pair avec des actions de contrôle récurrentes, il est important de constater, d’une manière ou l’autre, que ces contrôles sont bien effectués. Il est préférable de conserver un certain temps les fichiers log ou les rapports techniques du contrôle. Dans le cas de contrôles manuels, vous devez en dresser un bref rapport ou une liste, afin de pouvoir démontrer qui a effectué ces contrôles à quel moment. Tout le système de protection doit être évalué et adapté régulièrement – au moins une fois par an – en tenant compte des modifications au sein de l’organisation, des outils et des techniques utilisés et des solutions de sécurité disponibles.

Dans ce contexte, vous devez accorder une grande attention à l’enregistrement des incidents et surtout des fuites de données. Tout incident à l’encontre des procédures normales de sécurité, toute constatation mettant en lumière un risque de fuite de données doit être soigneusement consigné dans une liste d’incidents. Il convient évidemment d’examiner plus en détail les points de cette liste afin d’en connaître la cause sous-jacente. Il faut également définir des actions pour réduire le risque. Il peut s’agir de mesures de sécurité techniques supplémentaires, de procédures et de contrôles adaptés ou complémentaires, de nouveaux rapports ou journaux, etc. Afin de pouvoir attester de votre responsabilité, il est important que tout cela soit documenté. Il n’est pas obligatoirement nécessaire d’avoir un système de suivi complexe, mais vous avez au moins besoin de quelques listes synoptiques : tous les incidents avec leur analyse et les solutions convenues, ainsi que tous les points d’action, le responsable pour chacun d’entre eux et le statut.

Il convient d’accorder une attention particulière aux accords contractuels avec les partenaires ou les fournisseurs. Un contrat de responsable du traitement doit vous permettre de garantir le respect de la législation par vos sous-traitants également. Nous vous conseillons aussi de tenir un registre des sous-traitants auxquels vous confiez les traitements des données à caractère personnel, et de bien consigner leur mission et vos accords en la matière. Vous pouvez ensuite y coupler un accord spécifique. Inversement, vous devez veiller à ce que tout soit en ordre lorsque vous intervenez comme responsable du traitement pour un client. De tels traitements doivent être repris dans votre registre, même si moins de détails sont nécessaires que pour les traitements dont vous êtes responsable. Dans ce cas également, il est important que tous les accords cruciaux soient repris dans un contrat de traitement des données à caractère personnel.

Enfin, vous devez pouvoir démontrer que vous êtes parfaitement en mesure de garantir les droits des personnes concernées. Vous devez avoir de bons accords quant à la procédure à suivre lorsqu’une personne concernée pose des questions. Pour toutes les activités à cet égard, il est aussi préférable de tenir une sorte de registre. Si vous consignez toutes les demandes d’une personne individuelle, avec la date et l’heure de la demande, ainsi que les actions entreprises, vous pouvez vous assurer de réagir à temps et d’avoir fourni les réponses adéquates. En cas de contrôle par les autorités ou en cas de plainte, vous serez en mesure de prouver que vous avez fait tout ce qui était en votre pouvoir pour respecter la loi. Il est particulièrement important de conserver les arguments suivis si vous ne pouvez ou ne voulez pas donner suite à une requête.

Il ne suffit donc pas d’être légalement en ordre. Vous devez également documenter et attester de votre respect de la réglementation. Enfin, il est important, pour tous les projets à venir, d’anticiper les risques éventuels relatifs à la confidentialité des données. Cela fera l’objet du prochain article.

 

 

Viktor D’Huys, ICT Manager, est notamment responsable de la sécurisation des données au sein de Group Joos. Il coordonne le projet GDPR. Il est par ailleurs Certified Information Security Manager (ISACA) et Certified Information Privacy Professional/Europe (IAPP).

Si vous avez des questions ou souhaitez réagir, n’hésitez pas à nous contacter à l’adresse gdpr@groupjoos.com

LOADING